I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto una serie di attacchi avvenuti in Europa tra maggio 2022 e marzo 2024, in cui gli attaccanti hanno utilizzato un set di strumenti in grado di colpire sistemi air-gapped, in un'organizzazione governativa di un Paese dell'Unione Europea.
ESET attribuisce la campagna a GoldenJackal, un gruppo APT di cyberspionaggio che prende di mira enti governativi e diplomatici. ESET ha identificato un attacco che GoldenJackal ha effettuato nel 2019 con strumenti personalizzati mirato ai sistemi air-gapped di un'ambasciata dell'Asia meridionale in Bielorussia. L'obiettivo finale di GoldenJackal è molto probabilmente quello di sottrarre informazioni riservate e altamente sensibili, in particolare da macchine di alto profilo che potrebbero non essere collegate a Internet.
Per minimizzare il rischio di compromissione, le reti altamente sensibili sono spesso isolate (air-gapped), ossia separate da altre reti, spiega ESET. In genere, le organizzazioni isolano i loro sistemi più preziosi, come i sistemi di voto e i sistemi di controllo industriale che gestiscono le reti elettriche. Questi sono spesso i principali bersagli per gli attaccanti. Compromettere una rete isolata è molto più complesso rispetto alla violazione di un sistema connesso a Internet, il che significa che i framework progettati per attaccare reti isolate sono stati finora sviluppati esclusivamente da gruppi APT. Lo scopo di tali attacchi è sempre lo spionaggio.
GoldenJackal ha preso di mira enti governativi in Europa, Medio Oriente e Asia meridionale. ESET ha rilevato strumenti di GoldenJackal in un'ambasciata sud-asiatica in Bielorussia nell'agosto e settembre 2019 e di nuovo nel luglio 2021. Più recentemente, secondo la telemetria di ESET, un'altra organizzazione governativa in Europa è stata ripetutamente attaccata da maggio 2022 a marzo 2024.
Con il livello di sofisticazione richiesto, è piuttosto insolito che in cinque anni GoldenJackal sia riuscito a distribuire non uno, ma due set di strumenti separati progettati per compromettere sistemi isolati. Questo dimostra la notevole capacità di adattamento del gruppo. Gli attacchi contro un'ambasciata sud-asiatica in Bielorussia hanno utilizzato strumenti personalizzati che abbiamo visto solo in quel contesto specifico. La campagna ha utilizzato tre componenti principali: GoldenDealer per distribuire eseguibili al sistema air-gapped tramite monitoraggio USB; GoldenHowl, una backdoor modulare con varie funzionalità; e GoldenRobo, un raccoglitore ed esfiltratore di file.